第12章交换机基本配置交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。

和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。

本章将简单介绍交换的一些基本配置。

关于VLAN和Trunk等将在后面章节介绍。

12.1 交换机简介交换机是第2层的设备，可以隔离冲突域。

交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。

交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。

交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。

12.2 实验0：交换机基本配置1.实验目的:通过本实验，可以掌握交换机的基本配置这项技能。

2.实验拓扑实验拓扑图如图12-2所示。

图12-2 实验1拓扑图3.实验步骤（1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.登录成功后, 通过PC0配置交换机Switch0的主机名Switch>enableSwitch#conf terminalEnter configuration commands，one per line. End with CNTL/ZSwitch(config)#hostname S1（2）步骤2：配置telnet密码和enable密码.S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login（3）步骤3：接口基本配置默认时，交换机的以太网接口是开启的，对于交换机的以太网口可以配置其双工模式和速率等。

S1(config)#interface f0/1S1 (config-if)#duplex auto//duplex来用配置接口的双工模式,参数包括：full——全双工；half——半双工；auto——自动检测双工的模式S1 (config-if)#speed auto//speed命令用来配置交换机的接口速度，,参数包括:10——10Mbps；100——100 Mbps；1000——1000 Mbps；auto——自动检测接口速度（4）步骤4：配置管理地址交换机也允许被Telnet，这时需要在交换机上配置一个IP地址，这个地址是在Vlan接口上配置的,如下：S1(config)#int vlan 1S1(config-if)#ip address 172.16.0.1 255.255.0.0S1(config-if)#no shutdownS1(config)#ip default-gateway 172.16.0.254//以上在VLAN1接口上配置了管理地址，接在VLAN1上的计算机可以直接进行Telnet该地址。

为了其他网段的用户可以Telnet交换机，在交换上配置了默认网关。

自行测试,实现通过PC2以telnet方式登录交换机Switch0（5）步骤5: 保存配置S1#copy running-config startup-configDestination filename[startup-config]?Building configuration...［OK］12.3 实验1：交换机端口安全1.实验目的通过本实验，读者可以掌握如下技能：①理解交换机的CAM表；②理解交换机的端口安全；③配置交换的端口安全特性。

2.实验拓扑实验拓扑图如图12-3所示。

图12-3 实验2拓扑图3.实验步骤交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC 地址数。

在这里限制f0/1接口只允许R1接入。

（1）步骤1：检查R1的f0/0接口的MAC地址R1(config)#int f0/0R1(config-if)#no shutdownR1(config-if)#ip address 172.16.0.101 255.255.0.0R1#show int f0/0（此处省略）//记下你看到f0/0接口的Mac地址，写到实验报告（2）步骤2：配置交换端口安全S1(config)#int f0/1S1(config-if)#shutdownS1(config-if)#switchport mode access//以上命令把端口改为访问模式，即用来接入计算机，在下一章将详细介绍该命令的含义S1(config-if)#switchport port-security//以上命令是打开交换机的端口安全功能S1(confg-if)#switchport port-security maximum 1//以上命令只允许该端口下的MAC条目最大数量为1，即只允许一个设备接入S1(config-if)#switchport port-security violation shutdown//“switch port-security violation{protect|shutdown|restrict}”命令含义如下：●protect:当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响；●shutdown:当新的计算机接入时，如果该接口的MAC条目超过最大数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用”no shutdown”命令重新打开；●restrict:当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算机可以接入，然而交换机将向发送警告信息。

S1(config-if)#switchport port-security mac-address 0001.6381.6cce (此处填你看到的R1的f0/0接口的Mac地址)//允许R1路由器从f0/1接口接入S1(config-if)#no shutdownS1(config)#int vlan 1S1(config-if)#no shutdownS1(config-if)#ip address 172.16.0.1 255.255.0.0//以上配置交换机的管理地址（3）步骤3：检查MAC地址表S1#show mac-address-tableMac Address TableSwitch#sh mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0001.6381.6cce STATIC Fa0/1//R1的MAC已经被登记在f0/1接口，并且表明是静态加入的（4）步骤4：模拟非法接入这时从R1 ping 交换机的管理地址，可以ping 通，如下：R1#ping 172.16.0.1Type escape sequence to abort.Sending 5，100-byte ICMP Echos to 172.16.0.1，timeout is 2 seconds;！！！！！Success rate is 100 percent(5/5)，round-trip min/avg/max=1/1/4 ms在R1上修改f0/0的MAC地址为另一个地址，模拟是另外一台设备接入，如下：R1(config)#int f0/0R1(config-if)#mac-address 12.12.12几秒钟后，则在S1上出现：%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down//以上提示f0/1接口被关闭R1#ping 172.16.0.1(将该命令的执行结果写到实验报告)当非法设备移除后(把路由器的f0/0接口的MAC地址修改为原来的0001.6381.6cce，模拟这一场景)，在交换机f0/1接口下，执行”shutdown”和”no shutdown”命令可以重新打开该接口。

R1#ping 172.16.0.1(将该命令的执行结果写到实验报告)4.实验调试S1#show port-securitySecure Port MaxSecureAddr CurrentAddrr SecurityViolation Security Action （Count）（Count）（Count）----------------------------------------------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown----------------------------------------------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) ：0Max Addresses limit in System(excluding one mac per port) ：6272//以上可以查看端口安全的设置情况第13章: STP生成树协议13.1 STP简介为了增加局域网的冗余性，我们常常会在网络中引入冗余链路，然而这样却会引起交换环路。

交换环路会带来3个问题：广播风暴、同一帧的多个拷贝以及交换机CAM表不稳定。

STP（STP，Spanning Tree Protocol）可以解决这些问题，STP基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。

STP利用BPDU（Bridge Protocol Data Unit）和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。